Modul plug-in Microsoft Enterprise SSO pro zařízení Apple

Plug-in Microsoft Enterprise SSO pro zařízení Apple poskytuje jednotné přihlašování (SSO) pro účty Microsoft Entra v systémech macOS, iOS a iPadOS napříč všemi aplikacemi, které podporují funkci jednotného přihlašování společnosti Apple. Modul plug-in poskytuje jednotné přihlašování pro i staré aplikace, na které může vaše firma záviset, ale zatím nepodporují nejnovější knihovny identit nebo protokoly. Společnost Microsoft úzce spolupracovala s Applem na vývoji tohoto modulu plug-in, aby se zvýšila použitelnost vaší aplikace a zároveň poskytovala nejlepší dostupnou ochranu.

Modul plug-in Enterprise SSO je v současné době integrovanou funkcí následujících aplikací:

• Microsoft Authenticator: iOS, iPadOS
• Microsoft Intune Portál společnosti: macOS

Features

Modul plug-in Microsoft Enterprise SSO pro zařízení Apple nabízí následující výhody:

• Poskytuje jednotné přihlašování pro účty Microsoft Entra ve všech aplikacích, které podporují funkci jednotného přihlašování Apple Enterprise.
• Může ho povolit jakékoli řešení pro správu mobilních zařízení (MDM) a podporuje se v registraci zařízení i uživatele.
• Rozšiřuje jednotné přihlašování k aplikacím, které dosud nepoužívají knihovnu MICROSOFT Authentication Library (MSAL).
• Rozšiřuje jednotné přihlašování k aplikacím, které používají OAuth 2, OpenID Connect a SAML.
• Je nativně integrovaná se službou MSAL, která koncovým uživatelům poskytuje bezproblémové nativní prostředí, když je povolený modul plug-in Microsoft Enterprise SSO.

Requirements

Použití modulu plug-in Microsoft Enterprise SSO pro zařízení Apple:

• Zařízení musí podporovat a mít nainstalovanou aplikaci s modulem plug-in Microsoft Enterprise SSO pro zařízení Apple:
  • iOS 13.0 a novější: Aplikace Microsoft Authenticator
  • iPadOS 13.0 a novější: Aplikace Microsoft Authenticator
  • macOS 10.15 a novější: aplikace Portálu společnosti Intune
• Zařízení musí být zaregistrované v MDM, například prostřednictvím Microsoft Intune.
• Aby bylo možné povolit podnikový plug-in jednotného přihlašování, musí být konfigurace odeslána do zařízení. Apple vyžaduje toto omezení zabezpečení.
• Zařízením Apple musí být umožněn přístup k adresám URL zprostředkovatele identity i k vlastním adresám URL bez jakéhokoli dalšího přerušení. To znamená, že tyto adresy URL musí být vyloučeny ze síťových proxy serverů, průsečíků a dalších podnikových systémů.

Minimální sada adres URL, které musí být povoleny pro modul plug-in jednotného přihlašování pro fungování ve verzích operačního systému vydaných po roce 2022 a které nejsou cílem jednotného přihlašování platformy, jsou následující: (Na nejnovějších verzích operačního systému spoléhá Apple plně na cdN):

• app-site-association.cdn-apple.com
• app-site-association.networking.apple
• config.edge.skype.com – Udržování komunikace se službou ECS (Experimentation Configuration Service) zajišťuje, aby Microsoft mohl včas reagovat na závažnou chybu.

Minimální sada adres URL, které musí být povoleny pro fungování plug-inu jednotného přihlašování na zařízeních, na která míří jednotné přihlášení platformy, nebo na verzích operačního systému vydaných před rokem 2022:

• app-site-association.cdn-apple.com
• app-site-association.networking.apple
• login.microsoftonline.com
• login.microsoft.com
• sts.windows.net
• login.partner.microsoftonline.cn(**)
• login.chinacloudapi.cn(**)
• login.microsoftonline.us(**)
• login-us.microsoftonline.com(**)
• config.edge.skype.com(***)

( * ) Povolení domén Microsoftu se vyžaduje jenom ve verzích operačního systému vydaných před 2022. Na nejnovějších verzích operačního systému se Apple plně spoléhá na cdN. (**) Suverénní cloudové domény je potřeba povolit jen v případě, že se na ně ve vašem prostředí spoléháte. ( *** ) Udržování komunikace se službou ECS (Experimentation Configuration Service) zajišťuje, aby Microsoft mohl včas reagovat na závažnou chybu.

Adresy URL, které musí být povolené pro toky registrace zařízení

Ujistěte se, že provoz na zde uvedené adresy URL je ve výchozím nastavení povolený a explicitně vyloučený z zachycení nebo kontroly protokolu TLS. Je to kritické pro toky registrace, které závisejí na úspěšném dokončení výzev TLS.

Important

Poznámka: Došlo k nedávné aktualizaci koncového bodu TLS použitého v registřičních tocích. Ověřte, že seznam povolených prostředí odpovídá nejnovějším požadavkům na adresu URL, abyste se vyhnuli přerušení.

Modul plug-in Microsoft Enterprise SSO se spoléhá na architekturu podnikového jednotného přihlašování společnosti Apple. Architektura podnikového jednotného přihlašování společnosti Apple zajišťuje, že pro každého zprostředkovatele identity může fungovat jenom schválený modul plug-in SSO, a to pomocí technologie označované jako přidružené domény. Aby se ověřila identita modulu plug-in jednotného přihlašování, každé zařízení Apple odešle žádost o síť do koncového bodu vlastněného poskytovatelem identity a přečte informace o schválených modulech plug-in jednotného přihlašování. Kromě přímého kontaktování poskytovatele identity společnost Apple pro tyto informace implementovala také další ukládání do mezipaměti.

Warning

Pokud vaše organizace používá proxy servery, které zachycují SSL provoz pro scénáře, jako je prevence úniku dat nebo omezení tenanta, zajistěte, aby provoz na těchto adresách URL byl vyloučen z analýzy a průzkumu TLS. Nepodaří-li se tyto adresy URL vyloučit, dojde k rušení ověřování klientských certifikátů, problémům s registrací zařízení a podmíněným přístupem založeným na zařízeních. Modul plug-in SSO nebude spolehlivě fungovat bez úplného vyloučení domén Apple CDN z průsečíku a dokud to neuděláte, dojde k přerušovaným problémům. Pokud vaše organizace používá verze operačního systému vydané po roce 2022, není nutné vyloučit přihlašovací adresy URL Microsoftu z interspektivního protokolu TLS. Zákazníci, kteří používají funkci omezení tenanta, můžou provést kontrolu protokolu TLS na přihlašovacích adresách URL Microsoftu a přidat do požadavku potřebné hlavičky.

Note

SSO k platformě není kompatibilní s funkcí omezení tenanta Microsoft Entra ID v2, když jsou omezení tenanta nasazena pomocí firemního proxy serveru. Alternativní možnost je uvedená v známém omezení TRv2.

Pokud vaše organizace zablokuje tyto adresy URL, můžou se uživatelům zobrazovat chyby, jako je 1012 NSURLErrorDomain errornebo 1000 com.apple.AuthenticationServices.AuthorizationError1001 Unexpected.

Další adresy URL Apple, které může být potřeba povolit, jsou popsány v jejich článku podpory Používání produktů Apple v podnikových sítích.

Požadavky na iOS

• Na zařízení musí být nainstalovaný iOS 13.0 nebo vyšší.
• Na zařízení musí být nainstalovaná aplikace Microsoftu, která poskytuje modul plug-in Microsoft Enterprise SSO pro zařízení Apple. Tato aplikace je aplikace Microsoft Authenticator.

Požadavky pro macOS

• Na zařízení musí být nainstalovaný macOS 10.15 nebo novější.
• Na zařízení musí být nainstalovaná aplikace Microsoftu, která poskytuje modul plug-in Microsoft Enterprise SSO pro zařízení Apple. Tato aplikace je portál společnosti Intune.

Povolení modulu plug-in SSO

Pomocí následujících informací povolte SSO plugin pomocí MDM.

Konfigurace Microsoft Intune

Pokud jako službu MDM používáte Microsoft Intune, můžete k povolení modulu plug-in Microsoft Enterprise SSO použít integrované nastavení konfiguračního profilu:

1. Konfigurujte nastavení plug-inu SSO aplikace konfiguračního profilu.
2. Pokud profil ještě není přiřazený, přiřaďte ho skupině uživatelů nebo zařízení.

Nastavení profilu, které umožňuje modul plug-in pro jednotné přihlašování, se automaticky použije na zařízení skupiny při příští synchronizaci každého zařízení s Intune.

Ruční konfigurace pro ostatní služby MDM

Pokud pro MDM nepoužíváte Intune, můžete pro zařízení Apple nakonfigurovat rozšiřitelný profil pro jednotné přihlašování. Pomocí následujících parametrů nakonfigurujte modul plug-in Microsoft Enterprise SSO a jeho možnosti konfigurace.

Nastavení iOSu:

• ID rozšíření: com.microsoft.azureauthenticator.ssoextension
• ID týmu: Toto pole není pro iOS potřeba.

Nastavení macOS:

• ID rozšíření: com.microsoft.CompanyPortalMac.ssoextension
• ID týmu: UBF8T346G9

Běžná nastavení:

• Typ: Přesměrování
  • https://login.microsoftonline.com
  • https://login.microsoft.com
  • https://sts.windows.net
  • https://login.partner.microsoftonline.cn
  • https://login.chinacloudapi.cn
  • https://login.microsoftonline.us
  • https://login-us.microsoftonline.com

Průvodci nasazením

Pomocí následujících průvodců nasazení povolte modul plug-in Microsoft Enterprise SSO pomocí zvoleného řešení MDM:

Intune:

• Příručka pro iOS
• Příručka pro macOS

Jamf Pro:

• Příručka pro iOS
• Příručka pro macOS

Další MDM:

• Příručka pro iOS
• Příručka pro macOS

Další možnosti konfigurace

Můžete přidat další možnosti konfigurace pro rozšíření funkcí jednotného přihlašování do jiných aplikací.

Povolení jednotného přihlašování pro aplikace, které nepoužívají MSAL

Modul plug-in jednotného přihlašování umožňuje, aby se jakákoli aplikace zapojila do jednotného přihlašování, i když nebyla vyvinuta pomocí sady Microsoft SDK, jako je Microsoft Authentication Library (MSAL).

Plug-in SSO se instaluje automaticky na zařízeních, která mají:

• Stáhli jste aplikaci Authenticator v iOSu nebo iPadOS nebo stáhli aplikaci Portál společnosti Intune v macOS.
• MDM zaregistrovala svoje zařízení ve vaší organizaci.

Vaše organizace pravděpodobně používá aplikaci Authenticator pro scénáře, jako je vícefaktorové ověřování, ověřování bez hesla a podmíněný přístup. Pomocí poskytovatele MDM můžete zapnout modul plug-in SSO pro vaše aplikace. Microsoft usnadňuje konfiguraci modulu plug-in pomocí Microsoft Intune. Seznam povolených aplikací slouží ke konfiguraci těchto aplikací tak, aby používaly modul plug-in jednotného přihlašování.

Important

Modul plug-in Microsoft Enterprise SSO podporuje pouze aplikace, které používají nativní síťové technologie Apple nebo webové zobrazení. Nepodporuje aplikace, které dodávají vlastní implementaci síťové vrstvy.

Pomocí následujících parametrů nakonfigurujte modul plug-in Microsoft Enterprise SSO pro aplikace, které nepoužívají knihovnu MSAL.

Important

Do tohoto seznamu povolených není nutné přidávat aplikace, které používají knihovnu Microsoft Authentication Library. Tyto aplikace se ve výchozím nastavení účastní jednotného přihlašování. Většina aplikací vytvořených Microsoftem používá knihovnu Microsoft Authentication Library.

Povolení jednotného přihlašování pro všechny spravované aplikace

• Klíč: Enable_SSO_On_All_ManagedApps
• Typ: Integer
• Hodnota: 1 nebo 0. Tato hodnota je ve výchozím nastavení nastavená na 0.

Pokud je tento příznak zapnutý (jeho hodnota je nastavená na 1), všechny aplikace spravované pomocí MDM, které nejsou v AppBlockList, se mohou účastnit jednotného přihlašování.

Povolení jednotného přihlašování pro konkrétní aplikace

• Klíč: AppAllowList
• Typ: String
• Hodnota: Čárkami oddělený seznam identifikátorů svazků aplikací pro aplikace, které jsou povoleny účastnit se jednotného přihlašování.
• Příklad: com.contoso.workapp, com.contoso.travelapp

Note

Prohlížeč Safari a služba Zobrazení Safari mohou ve výchozím nastavení účastnit Single Sign-On (SSO). Lze nakonfigurovat tak, aby se nepřipojoval k jednotnému přihlašování, přidáním ID balíčků Safari a Služby zobrazení Safari do seznamu AppBlockList. iOS Bundle ID: [com.apple.mobilesafari, com.apple.SafariViewService] macOS Bundle ID: [com.apple.Safari]

Povolení jednotného přihlašování pro všechny aplikace s konkrétní předponou bundle ID

• Klíč: AppPrefixAllowList
• Typ: String
• Hodnota: Čárkami oddělený seznam předpon ID sady aplikací pro aplikace, které se mohou účastnit jednotného přihlašování. Tento parametr umožňuje všem aplikacím, které začínají konkrétní předponou, účastnit se jednotného přihlašování. Pro iOS by byla výchozí hodnota nastavena na com.apple., a to by umožnilo jednotné přihlašování pro všechny aplikace od Apple. Pro macOS by se výchozí hodnota nastavovala com.apple. a com.microsoft. která by umožňovala jednotné přihlašování pro všechny aplikace Apple a Microsoft. Správci mohou přepsat výchozí hodnotu nebo přidat aplikace do AppBlockList, aby jim zabránili v účasti na jednotném přihlašování.
• Příklad: com.contoso., com.fabrikam.

Zakázání jednotného přihlašování pro konkrétní aplikace

• Klíč: AppBlockList
• Typ: String
• Hodnota: Čárkami oddělený seznam ID balíčků aplikací pro aplikace, které nemají povolenou účast v jednotném přihlašování.
• Příklad: com.contoso.studyapp, com.contoso.travelapp

Pokud chcete zakázat jednotné přihlašování pro Safari nebo Safari View Service, musíte to udělat výslovně přidáním jejich ID svazků do AppBlockList:

• iOS: com.apple.mobilesafari, com.apple.SafariViewService
• macOS: com.apple.Safari

Note

Jednotné přihlašování nejde zakázat pro aplikace, které používají knihovnu Microsoft Authentication Library pomocí tohoto nastavení.

Povolení jednotného přihlašování prostřednictvím souborů cookie pro konkrétní aplikaci

U některých aplikací pro iOS s pokročilým nastavením sítě můžou docházet k neočekávaným problémům, když jsou povolené jednotné přihlašování. Může se například zobrazit chyba, která značí, že došlo ke zrušení nebo přerušení síťové žádosti.

Pokud mají vaši uživatelé problémy s přihlášením k aplikaci i po jejím povolení prostřednictvím dalších nastavení, zkuste ho přidat do AppCookieSSOAllowList, abyste vyřešili problémy.

Note

Použití jednotného přihlašování prostřednictvím mechanismu souborů cookie má závažná omezení. Není například kompatibilní se zásadami podmíněného přístupu Microsoft Entra ID a podporuje pouze jeden účet. Tuto funkci byste neměli používat, pokud ji výslovně nedoporučí technický tým Microsoftu nebo tým podpory, a to pouze pro omezenou sadu aplikací, které jsou nekompatibilní s běžným jednotným přihlašováním.

• Klíč: AppCookieSSOAllowList
• Typ: String
• Hodnota: Čárkami oddělený seznam předpon identifikátorů balíčku aplikací pro aplikace, které se mohou účastnit jednotného přihlášení (SSO). Všechny aplikace, které začínají na uvedených předponách, se budou moct účastnit jednotného přihlašování.
• Příklad: com.contoso.myapp1, com.fabrikam.myapp2

Další požadavky: Chcete-li povolit jednotné přihlašování pro aplikace pomocí AppCookieSSOAllowList, musíte také přidat jejich předpony AppPrefixAllowListID sady .

Tuto konfiguraci zkuste použít jenom pro aplikace, které mají neočekávané chyby přihlášení. Tento klíč se použije jenom pro aplikace pro iOS, ne pro aplikace pro macOS.

Souhrn klíčů

Note

Klíče popsané v této části platí jenom pro aplikace, které nepoužívají knihovnu Microsoft Authentication Library.

Key	Typ	Value
Enable_SSO_On_All_ManagedApps	Integer	1 pokud chcete povolit jednotné přihlašování pro všechny spravované aplikace, 0 zakažte jednotné přihlašování pro všechny spravované aplikace.
AppAllowList	String (seznam oddělený čárkami)	Id sad aplikací, které se můžou účastnit jednotného přihlašování
AppBlockList	String (seznam oddělený čárkami)	Identifikátory balíků aplikací, které se nesmí účastnit SSO.
AppPrefixAllowList	String (seznam oddělený čárkami)	Předpony ID bundlů aplikací, které se můžou účastnit jednotného přihlášení. Pro iOS by byla výchozí hodnota nastavena na com.apple., a to by umožnilo jednotné přihlašování pro všechny aplikace od Apple. Pro macOS by se výchozí hodnota nastavovala com.apple. a com.microsoft. která by umožňovala jednotné přihlašování pro všechny aplikace Apple a Microsoft. Vývojáři, zákazníci nebo správci můžou přepsat výchozí hodnotu nebo přidat aplikace, aby se zabránilo jejich účasti na jednotném přihlašování.
AppCookieSSOAllowList	String (seznam oddělený čárkami)	Předpony ID balíčků aplikací, které mohou být zahrnuty v jednotném přihlašování, ale používají speciální nastavení sítě a mohou mít problémy s jednotným přihlašováním při použití jiných nastavení. Aplikace, které přidáte do AppCookieSSOAllowList, musí být také přidány do AppPrefixAllowList. Všimněte si, že tento klíč se používá jenom pro aplikace pro iOS, a ne pro aplikace pro macOS.

Nastavení pro běžné scénáře

• Scénář: Chci povolit jednotné přihlašování pro většinu spravovaných aplikací, ale ne pro všechny aplikace.

  Key	Value
  Enable_SSO_On_All_ManagedApps	1
  AppBlockList	ID sady aplikací (seznam oddělených čárkami) aplikací, kterým chcete zabránit v účasti v jednotném přihlašování.

• Scénář: chci zakázat jednotné přihlašování pro Safari, které je ve výchozím nastavení povoleno, ale povolit jednotné přihlašování pro všechny spravované aplikace.

  Key	Value
  Enable_SSO_On_All_ManagedApps	1
  AppBlockList	ID balíčků (seznam oddělený čárkami) aplikací Safari, kterým nechcete umožnit účast v SSO. Pro iOS: com.apple.mobilesafari, com.apple.SafariViewService Pro macOS: com.apple.Safari

• Scénář: Chci povolit jednotné přihlašování pro všechny spravované aplikace a několik nespravovaných aplikací, ale zakázat jednotné přihlašování pro několik dalších aplikací.

  Key	Value
  Enable_SSO_On_All_ManagedApps	1
  AppAllowList	ID sady (čárkami oddělený seznam) aplikací, které chcete povolit pro účast v jednotném přihlašování.
  AppBlockList	ID sady aplikací (seznam oddělených čárkami) aplikací, kterým chcete zabránit v účasti v jednotném přihlašování.

Vyhledání identifikátorů sady aplikací na zařízeních s iOSem

Apple neposkytuje snadný způsob, jak získat ID sad z App Storu. Nejjednodušší způsob, jak získat ID sady aplikací, které chcete použít pro jednotné přihlašování, je požádat dodavatele nebo vývojáře aplikací. Pokud tato možnost není dostupná, můžete pomocí konfigurace MDM najít ID sad:

1. V konfiguraci MDM dočasně povolte následující příznak:

   • Klíč: admin_debug_mode_enabled
   • Typ: Integer
   • Hodnota: 1 nebo 0

2. Pokud je tento příznak aktivován, přihlaste se k aplikacím pro iOS na zařízení, u kterého chcete znát ID balíčku.

3. V aplikaci Authenticator vyberte Nápověda>Odeslat protokoly>Zobrazit protokoly.

4. V souboru protokolu vyhledejte následující řádek: [ADMIN MODE] SSO extension has captured following app bundle identifiers. Tento řádek by měl zaznamenat všechna ID sad aplikací, které jsou viditelné pro rozšíření jednotného přihlašování.

Pomocí ID sad nakonfigurujte jednotné přihlašování pro aplikace. Po dokončení zakažte režim správce.

Povolit uživatelům přihlášení z aplikací, které nepoužívají knihovnu MSAL a prohlížeč Safari

Modul plug-in Microsoft Enterprise SSO ve výchozím nastavení získá sdílené přihlašovací údaje, když je zavolán jinou aplikací, která používá knihovnu MSAL při získávání nového tokenu. V závislosti na konfiguraci může modul plug-in Microsoft Enterprise SSO získat také sdílené přihlašovací údaje, když je volán aplikacemi, které nepoužívají knihovnu MSAL.

Když povolíte příznak browser_sso_interaction_enabled, aplikace, které nepoužívají MSAL, mohou provést počáteční nastavení a získat sdílené přihlašovací údaje. Prohlížeč Safari může také provést počáteční spuštění a získat sdílené přihlašovací údaje.

Pokud modul plug-in Microsoft Enterprise SSO ještě nemá sdílené přihlašovací údaje, pokusí se ho získat při každém vyžádání přihlášení z adresy URL Microsoft Entra v prohlížeči Safari, ASWebAuthenticationSession, SafariViewController nebo jiné povolené nativní aplikaci.

Příznak povolíte pomocí těchto parametrů:

• Klíč: browser_sso_interaction_enabled
• Typ: Integer
• Hodnota: 1 nebo 0. Tato hodnota je ve výchozím nastavení nastavená na hodnotu 1.

IOS i macOS vyžadují toto nastavení, aby modul plug-in microsoft Enterprise SSO mohl poskytovat konzistentní prostředí pro všechny aplikace. Toto nastavení je ve výchozím nastavení povolené a mělo by se zakázat jenom v případě, že se koncový uživatel nemůže přihlásit pomocí svých přihlašovacích údajů.

Zakázání výzev aplikace OAuth 2

Pokud aplikace vyzve uživatele, aby se přihlásili, i když modul plug-in Microsoft Enterprise SSO funguje pro jiné aplikace na zařízení, může aplikace obejít jednotné přihlašování na vrstvě protokolu. Sdílené přihlašovací údaje jsou také těmito aplikacemi ignorovány, protože modul plug-in poskytuje jednotné přihlašování připojením přihlašovacích údajů k síťovým požadavkům vytvořeným povolenými aplikacemi.

Tyto parametry určují, jestli má rozšíření jednotného přihlašování bránit nativním a webovým aplikacím v obejití jednotného přihlašování ve vrstvě protokolu a vynucení zobrazení výzvy k přihlášení uživateli.

Pokud chcete konzistentní jednotné přihlašování napříč všemi aplikacemi na zařízení, doporučujeme povolit jedno z těchto nastavení pro aplikace, které nepoužívají knihovnu MSAL. Tuto možnost byste měli povolit jenom pro aplikace, které používají MSAL, pokud se uživatelům zobrazují neočekávané výzvy.

Aplikace, které nepoužívají knihovnu Microsoft Authentication Library:

Zakažte upozornění aplikace a zobrazte výběr účtu.

• Klíč: disable_explicit_app_prompt
• Typ: Integer
• Hodnota: 1 nebo 0. Tato hodnota je ve výchozím nastavení nastavená na 1 a toto výchozí nastavení zmenšuje výzvy.

Zakažte výzvu aplikace a v seznamu odpovídajících účtů jednotného přihlašování vyberte účet automaticky:

• Klíč: disable_explicit_app_prompt_and_autologin
• Typ: Integer
• Hodnota: 1 nebo 0. Tato hodnota je ve výchozím nastavení nastavená na 0.

Aplikace, které používají knihovnu Microsoft Authentication Library:

Následující nastavení se nedoporučují, pokud se používají zásady ochrany aplikací.

Zakažte upozornění aplikace a zobrazte výběr účtu.

• Klíč: disable_explicit_native_app_prompt
• Typ: Integer
• Hodnota: 1 nebo 0. Tato hodnota je ve výchozím nastavení nastavená na 0.

Zakažte výzvu aplikace a v seznamu odpovídajících účtů jednotného přihlašování vyberte účet automaticky:

• Klíč: disable_explicit_native_app_prompt_and_autologin
• Typ: Integer
• Hodnota: 1 nebo 0. Tato hodnota je ve výchozím nastavení nastavená na 0.

Neočekávané výzvy aplikace SAML

Pokud aplikace vyzve uživatele, aby se přihlásili, i když modul plug-in Microsoft Enterprise SSO funguje pro jiné aplikace na zařízení, může aplikace obejít jednotné přihlašování na vrstvě protokolu. Pokud aplikace používá protokol SAML, modul plug-in Microsoft Enterprise SSO nebude moct aplikaci poskytnout jednotné přihlašování. Dodavatel aplikace by měl být upozorněn na toto chování a provést změnu ve své aplikaci, aby se neobcházelo jednotné přihlášení.

Změna prostředí pro iOS pro aplikace s podporou MSAL

Aplikace, které používají MSAL, vždy nativně vyvolají rozšíření SSO pro interaktivní požadavky. Na některých zařízeních s iOSem nemusí být žádoucí. Konkrétně pokud uživatel potřebuje dokončit vícefaktorové ověřování v aplikaci Microsoft Authenticator, interaktivní přesměrování na danou aplikaci může poskytnout lepší uživatelské prostředí.

Toto chování lze nakonfigurovat pomocí příznaku disable_inapp_sso_signin . Pokud je tento příznak povolený, aplikace, které používají MSAL, přesměrují pro všechny interaktivní požadavky na aplikaci Microsoft Authenticator. Tento příznak nebude mít vliv na žádosti o bezobslužné tokeny z aplikací pro macOS, na chování aplikací, které nepoužívají MSAL, ani na jiné aplikace. Tento příznak je zakázaný ve výchozím nastavení.

• Klíč: disable_inapp_sso_signin
• Typ: Integer
• Hodnota: 1 nebo 0. Tato hodnota je ve výchozím nastavení nastavená na 0.

Konfigurace registrace zařízení Microsoft Entra

U zařízení spravovaných pomocí Intune může modul plug-in Microsoft Enterprise SSO provést registraci zařízení Microsoft Entra, když se uživatel pokouší získat přístup k prostředkům. To umožňuje efektivnější prostředí pro koncové uživatele.

Pomocí následující konfigurace umožníte registraci Just in Time pro iOS/iPadOS ve službě Microsoft Intune:

• Klíč: device_registration
• Typ: String
• Hodnota: {{DEVICEREGISTRATION}}

Další informace o Just in Time registraci najdete zde.

Zásady podmíněného přístupu a změny hesel

Modul plug-in Microsoft Enterprise SSO pro zařízení Apple je kompatibilní s různými zásadami podmíněného přístupu Microsoft Entra a událostmi změny hesla. Je nutné povolit browser_sso_interaction_enabled, aby bylo dosaženo kompatibility.

Kompatibilní události a zásady jsou popsané v následujících částech:

Změna hesla a odvolání tokenu

Když uživatel resetuje heslo, všechny tokeny, které byly vydány dříve, budou zrušeny. Pokud se uživatel pokouší o přístup k prostředku po události resetování hesla, uživatel se obvykle musí znovu přihlásit v každé z aplikací. Pokud je povolený modul plug-in Microsoft Enterprise SSO, zobrazí se uživateli výzva k přihlášení první aplikace, která se účastní jednotného přihlašování. Modul plug-in Microsoft Enterprise SSO zobrazí vlastní uživatelské rozhraní nad aplikací, která je aktuálně aktivní.

Vícefaktorové ověřování Microsoft Entra

Vícefaktorové ověřování je proces, při kterém se uživatelům během procesu přihlašování zobrazí výzva k další formě identifikace, jako je například kód na mobilním telefonu nebo při skenování otisku prstu. Pro konkrétní prostředky je možné povolit vícefaktorové ověřování. Pokud je povolený modul plug-in Microsoft Enterprise SSO, zobrazí se uživateli výzva k provedení vícefaktorového ověřování v první aplikaci, která ho vyžaduje. Modul plug-in Microsoft Enterprise SSO zobrazí vlastní uživatelské rozhraní nad aplikací, která je aktuálně aktivní.

Frekvence přihlašování uživatelů

Frekvence přihlášení definuje časové období před zobrazením výzvy uživatele k opětovnému přihlášení při pokusu o přístup k prostředku. Pokud se uživatel pokouší získat přístup k prostředku po uplynutí časového období v různých aplikacích, uživatel se obvykle musí znovu přihlásit v každé z těchto aplikací. Pokud je povolený modul plug-in Microsoft Enterprise SSO, zobrazí se uživateli výzva k přihlášení k první aplikaci, která se účastní jednotného přihlašování. Modul plug-in Microsoft Enterprise SSO zobrazí vlastní uživatelské rozhraní nad aplikací, která je aktuálně aktivní.

Použití Intune pro zjednodušenou konfiguraci

Intune můžete použít jako službu MDM, abyste usnadnili konfiguraci modulu plug-in Microsoft Enterprise SSO. Pomocí Intune můžete například povolit modul plug-in a přidat staré aplikace do seznamu povolených, aby získaly jednotné přihlašování.

Pro více informací si přečtěte průvodce nasazením modulu plug-in Microsoft Enterprise SSO pro zařízení Apple pomocí Intune.

Použijte plug-in pro jednotné přihlášení ve vaší aplikaci

MSAL pro zařízení Apple verze 1.1.0 a novější podporují plug-in Microsoft Enterprise SSO pro zařízení Apple. Je to doporučený způsob, jak přidat podporu modulu plug-in Microsoft Enterprise SSO. Zajišťuje, že získáte všechny možnosti platformy Microsoft Identity Platform.

Pokud vytváříte aplikaci pro scénáře frontline pracovníků, přečtěte si informace o nastavení v režimu sdíleného zařízení pro iOS.

Pochopit, jak funguje plug-in pro jednotné přihlašování

Modul plug-in Microsoft Enterprise SSO závisí na rozhraní Apple Enterprise SSO. Zprostředkovatelé identit, kteří se připojují k rozhraní, můžou zachycovat síťový provoz pro své domény a vylepšovat nebo měnit způsob zpracování těchto požadavků. Například modul plug-in SSO může zobrazit více uživatelských rozhraní pro bezpečné shromažďování přihlašovacích údajů koncového uživatele, vyžadování vícefaktorového ověřování nebo bezobslužné poskytování tokenů aplikaci.

Nativní aplikace můžou také implementovat vlastní operace a komunikovat přímo s modulem plug-in SSO. Další informace najdete v tomto videu z konference Worldwide Developer Conference z Apple 2019.

Tip

Přečtěte si další informace o tom, jak modul plug-in jednotného přihlašování funguje a jak řešit potíže s rozšířením jednotného přihlašování Microsoft Enterprise pomocí průvodce odstraňováním potíží s jednotným přihlašováním pro zařízení Apple.

Aplikace, které používají MSAL

MSAL pro zařízení Apple verze 1.1.0 a novější nativně podporuje Microsoft Enterprise SSO plug-in pro pracovní a školní účty na zařízeních Apple.

Pokud jste postupovali podle všech doporučených kroků a použili výchozí formát identifikátoru URI přesměrování, nepotřebujete žádnou speciální konfiguraci. Na zařízeních s modulem plug-in SSO ho MSAL automaticky vyvolá pro všechny interaktivní a tiché požadavky na tokeny. Vyvolá je také pro operace inventarizace účtů a odebrání účtů. Vzhledem k tomu, že MSAL implementuje nativní protokol plug-in pro jednotné přihlašování, který závisí na vlastních operacích, poskytuje toto nastavení koncovému uživateli nejhladší nativní zážitek.

Pokud mdM nepodporuje modul plug-in jednotného přihlašování na zařízeních s iOSem a iPadOS, ale aplikace Microsoft Authenticator je na zařízení, msAL místo toho používá aplikaci Authenticator pro všechny interaktivní žádosti o tokeny. Plug-in Microsoft Enterprise SSO sdílí SSO s aplikací Authenticator.

Aplikace, které nepoužívají MSAL

Aplikace, které nepoužívají knihovnu MSAL, můžou stále získat jednotné přihlašování, pokud správce tyto aplikace přidá do seznamu povolených.

Kód v těchto aplikacích nemusíte měnit, pokud jsou splněny následující podmínky:

• Aplikace ke spouštění síťových požadavků používá architektury Apple. Mezi tyto architektury patří WKWebView a NSURLSession, například.
• Aplikace používá ke komunikaci se službou Microsoft Entra ID standardní protokoly. Mezi tyto protokoly patří například OAuth 2, SAML a WS-Federation.
• Aplikace neshromažďuje uživatelská jména a hesla prostého textu v nativním uživatelském rozhraní.

V tomto případě se jednotné přihlašování poskytuje, když aplikace vytvoří požadavek na síť a otevře webový prohlížeč pro přihlášení uživatele. Pokud je uživatel přesměrován na přihlašovací adresu URL Microsoft Entra, modul plug-in jednotného přihlašování ověří adresu URL a zkontroluje přihlašovací údaje jednotného přihlašování pro tuto adresu URL. Pokud najde přihlašovací údaje, modul plug-in SSO ho předá do Microsoft Entra ID, které aplikaci autorizuje k dokončení síťové žádosti bez vyžádání přihlašovacích údajů uživatelem. Kromě toho pokud je zařízení známé Microsoft Entra ID, modul plug-in SSO předá certifikát zařízení k ověření kontroly podmíněného přístupu na základě zařízení.

Modul plug-in SSO, který podporuje jednotné přihlašování pro aplikace jiné než MSAL, implementuje protokol podobný modulu plug-in prohlížeče Windows, jak je popsáno v části Co je primární obnovovací token?.

Ve srovnání s aplikacemi založenými na MSAL působí SSO plug-in transparentněji pro aplikace, které nejsou založené na MSAL. Integruje se s existujícím přihlašovacím prostředím prohlížeče, které aplikace poskytují.

Koncový uživatel uvidí známé prostředí a nemusí se v každé aplikaci znovu přihlásit. Například místo zobrazení nativního výběru účtu přidává SSO plug-in sezení SSO do prostředí webového výběru účtu.

Úložiště klíčů identit zařízení

V březnu 2024 Společnost Microsoft oznámila, že Microsoft Entra ID přejde z klíčenky Společnosti Apple na zabezpečenou enklávu Společnosti Apple pro ukládání klíčů identity zařízení. Od srpna 2025 učiní nasazení zabezpečeného úložiště z Secure Enclave výchozí úložiště klíčů pro všechny nové registrace zařízení. Nové registrace zařízení budou ve výchozím nastavení používat model zabezpečeného úložiště. Stávající zařízení, která nepodporují zabezpečenou enklávu, budou mít registrační klíče uložené v klíčence uživatele (ale ne ve starší přihlašovací klíčence). Stávající funkce pro zařízení bez zabezpečeného úložiště zůstávají stejné.

Pokud vaše aplikace nebo řešení MDM závisí na přístupu k registračním klíčům zařízení Microsoft Entra prostřednictvím řetězce klíčů, musíte je aktualizovat tak, aby používaly Microsoft Authentication Library (MSAL) a modul plug-in Enterprise SSO, aby se zachovala kompatibilita s platformou Microsoft Identity Platform.

Čtení informací o registračním zařízení pomocí knihovny MSAL (Microsoft Authentication Library)

Můžete volat toto dostupné rozhraní MSAL API a přečíst si podrobnou registraci zařízení:

- (void)getWPJMetaDataDeviceWithParameters:(nullable MSALParameters *)parameters
                               forTenantId:(nullable NSString *)tenantId
                           completionBlock:
                               (nonnull MSALWPJMetaDataCompletionBlock)
                                   completionBlock;

Další podrobnosti o této dokumentaci k rozhraní API najdete tady.

Řešení potíží s identitou zařízení založenou na zabezpečené enklávě

Po povolení zabezpečeného úložiště založeného na enklávě se může zobrazit chybová zpráva s upozorněním, že máte zařízení nastavit pro získání přístupu. Tato chybová zpráva značí, že aplikace nerozpoznala spravovaný stav zařízení, což naznačuje nekompatibilitu s novým umístěním úložiště klíčů.

Tato chyba se zobrazí v protokolech přihlašování k ID Microsoft Entra s následujícími podrobnostmi:

• Kód chyby přihlášení:530003
• Důvod selhání:Device is required to be managed to access this resource.

Pokud se tato chybová zpráva zobrazí během testování, nejprve se ujistěte, že jste rozšíření jednotného přihlašování úspěšně povolili a nainstalovali všechna požadovaná rozšíření specifická pro aplikaci (např. Microsoft Jednotné přihlašování pro Chrome). Pokud se tato zpráva bude dál zobrazovat, doporučujeme, abyste kontaktovali dodavatele aplikace a upozorňovali je na nekompatibilitu s novým umístěním úložiště.

Řešení potíží se Secure Enclave

V případech, kdy musíte řešit problémy se zabezpečeným enklávem, je možné ho zakázat aktualizací následujícího klíče v konfiguraci MDM vašeho zařízení Apple:

• Klíč: use_most_secure_storage
• Typ: Integer
• Hodnota: 0

Warning

Zakázání zabezpečené enklávy by se mělo provést pouze během řešení potíží.

Řešení potíží: Zakázání zabezpečené enklávy pro testování

Pokud je z nějakého důvodu nutné zakázat zabezpečenou enklávu, postupujte podle následujících doporučených kroků:

1. Aktualizujte konfiguraci: Zakažte use_most_secure_storage nastavením příznaku 0 pro typ integer v konfiguraci MDM.

2. Zrušení registrace zařízení: Pomocí jedné z těchto metod odeberte registraci zařízení:

• Microsoft Authenticator: Přejděte do nabídky registrace zařízení a postupujte podle kroků zrušení registrace:
  1. Výběr nabídky ... z domovské obrazovky vlevo nahoře
  2. Stiskněte Nastavení, Registrace zařízení.
  3. V zařízení je aktuálně zaregistrovaný název společnosti pro registraci.
  4. Stiskněte zrušit registraci zařízení.
• Portál společnosti Intune: Přihlaste se k Portálu společnosti a vyberte Kartu Zařízení:
  1. V seznamu zařízení vyberte zařízení.
  2. Pod názvem stiskněte ..., zobrazí se nabídka.
  3. Vyberte Odebrat zařízení.

3. Znovu zaregistrujte zařízení: Po zrušení registrace zařízení znovu zaregistrujte pomocí těchto možností:

• Portál společnosti Intune: Vyberte zařízení a znovu ho zaregistrujte.
• Microsoft Authenticator: Přejděte do nabídky, vyberte Registraci zařízení a znovu ho zaregistrujte (Poznámka: Tato metoda není dostupná v systému macOS).

Important

Aby se změna umístění úložiště projevila, musí se zařízení zrušit a znovu zaregistrovat. Jednoduchá aktualizace příznaku konfigurace bez opětovné registrace nezmění umístění úložiště pro stávající registrace zařízení.

Odhlášení ze zabezpečeného úložiště

Pokud chcete zrušit zavedení zabezpečeného úložiště, obraťte se na zákaznickou podporu Microsoftu a požádejte o vyloučení z nasazení zabezpečeného úložiště. Po zpracování je váš nájemce dočasně vyloučen z plánovaného nasazení po dobu až 6 měsíců. Všechna zařízení ve vašem tenantovi, která byla dříve zaregistrována v bezpečném úložišti, musí následovat předchozí pokyny k odebrání a opětovnému přidání po dokončení dočasné deaktivace.

Important

Dočasná vyloučení ze zabezpečeného úložiště jsou omezená na 6 měsíců a nedoporučuje se, protože můžou vaší organizaci zabránit v výhodách tohoto vylepšení zabezpečení a budoucích vylepšení zabezpečení a můžou omezit možnosti podpory, když Microsoft nakonec ukončí starší metody úložiště.

Pokud chcete vyjádřit výslovný souhlas se zabezpečeným úložištěm v budoucnu, musíte kontaktovat zákaznickou podporu Microsoftu.

Ovlivněné scénáře

Následující seznam obsahuje některé běžné scénáře, na které budou tyto změny mít vliv. Ve výchozím nastavení bude ovlivněna jakákoli aplikace, která má závislost na přístupu k artefaktům identity zařízení prostřednictvím řetězce klíčů Společnosti Apple.

Note

Nejedná se o vyčerpávající seznam a doporučujeme uživatelům i dodavatelům aplikací otestovat jejich software kvůli kompatibilitě s tímto novým úložištěm dat.

Podpora zásad podmíněného přístupu zaregistrovaného/zaregistrovaného zařízení v prohlížečích

S povoleným zabezpečeným úložištěm založeným na enklávě vyžadují prohlížeče specifické konfigurace pro podporu zásad podmíněného přístupu zařízení:

Safari (iOS a macOS)

• Integrovaná integrace jednotného přihlašování – nevyžaduje se žádná další konfigurace

Google Chrome (macOS)

• Nainstalujte rozšíření Jednotného přihlašování Microsoftu nebo
• Aktualizace na Chrome 135+ pro automatickou podporu jednotného přihlašování Enterprise

Microsoft Edge (iOS a macOS)

• Přihlášení k profilu Edge pro automatickou integraci jednotného přihlašování Microsoftu
• Další informace: Zabezpečení a identita Microsoft Edge

Firefox (macOS)

• Konfigurace zásad MicrosoftEntraSSO pro integraci prohlížeče
• Viz: Šablony zásad Firefoxu a poznámky k verzi Firefox Enterprise 133

Důležitá aktualizace macOS 15.3 a iOS 18.1.1, která ovlivňuje podnikové jednotné přihlašování

Overview

Nedávná aktualizace pro macOS 15.3 a iOS 18.1.1 brání správnému fungování architektury rozšíření Enterprise SSO, což vede k neočekávaným chybám ověřování ve všech aplikacích integrovaných s Entra ID. Ovlivnění uživatelé můžou také zaznamenat chybu označenou jako 4s8qh.

Původní příčina

Hlavní příčinou tohoto problému je potenciální regrese v podkladové vrstvě PluginKit, která brání spuštění rozšíření jednotného přihlašování Microsoft Enterprise v operačním systému. Apple problém prošetřuje a pracuje s námi na řešení.

Identifikace ovlivněných uživatelů

Pokud chcete zjistit, jestli jsou ovlivněni vaši uživatelé, můžete shromáždit sysdiagnose a vyhledat následující informace o chybě:

Chyba Domain=PlugInKit Kód=16 jiná verze je používána

Tady je ukázka, jak by tato chyba vypadala:

Request for extension <EXConcreteExtension: 0x60000112d080> {id = com.microsoft.CompanyPortalMac.ssoextension} failed with error Error Domain=PlugInKit Code=16 "other version in use: <id<PKPlugIn>: 0x1526066c0; core = <[...] [com.microsoft.CompanyPortalMac.ssoextension(5.2412.0)],[...] [/Applications/Company Portal.app/Contents/PlugIns/Mac SSO Extension.appex]>, instance = [(null)], state = 1, useCount = 1>" UserInfo={NSLocalizedDescription=other version in use: <id<PKPlugIn>: 0x1526066c0; core = <[...] [com.microsoft.CompanyPortalMac.ssoextension(5.2412.0)],[...] [/Applications/Company Portal.app/Contents/PlugIns/Mac SSO Extension.appex]>, instance = [(null)], state = 1, useCount = 1>}

Kroky obnovení

Pokud se tento problém týká vašich uživatelů, můžou zařízení restartovat, aby se obnovilo.

Viz také

Přečtěte si o režimu sdíleného zařízení pro zařízení s iOSem.

Přečtěte si informace o řešení potíží s rozšířením Microsoft Enterprise SSO.